1、“.....渠护及紧急情 况服务。 第二章用户网络现状分析 金桥工程是我国九五信息化重点工程之。金桥信息网是个以数据通信 为基础的计算机综合信息网，通过金桥工程的建设，建立跨行业跨部门的公用 计算机信息交换平台，实现信息通信和资源共享，面向社会提供网络服务和信息 服务。经过几年的努力，金桥网已经建设了具有定规模的融合了各种数据通 信技术的卫星与地面通信线路互为备份的网络，骨干网络的带宽已达，国 际出口达到了，网络节点超过个大中城市可以向各种用户提供卫星 帧中继接入信息服务电话电子商 务等服务。年是金桥网建设大发展的年，骨干网带宽及国际出口带宽将进 步扩宽以满足用户的需要网络节点将大规模增加以增加网络的覆盖在已经 建设的网管中心维护中心的基础上，还将建设计费与结算中心客服中心认 证中心数据中心，使网络的规模业务与服务的水平都上到个新的台阶......”。

2、“.....应用水平的不断提高，个不容忽视的问题 网络安全越来越受到人们的关注，对网络安全体系的建立和全面解决方案的需求 迫在眉睫。于是，吉通通信有限责任公司作为金桥工程的业主提出招标，为金桥 网提供整套的安全解决方案。包括安全政策的制定体系结构的设计安全产 品的选择和集成，以及长期的合作和技术支持服务。工程总体目标是在不影响金 桥网当前业务的前提下，实现对金桥网的全面安全管理。 将安全策略硬漏洞。 的设计应该是可理解和管理的。 依赖的操作系统应及时地升级以弥补安全漏洞。 选择防火墙的要点 安全性即是否通过了严格的入侵测试。 抗攻击能力对典型攻击的防御能力 性能是否能够提供足够的网络吞吐能力 自我完备能力自身的安全性......”。

3、“.....通过网络远程访问而构成 的安全威胁成为日益受到严重关注的问题。根据美国的调查，美国每年因为 网络安全造成的经济损失超过亿美元。 由于企业网络内运行的主要是多种网络协议，而这些网络协议并非专为安全 通讯而设计。所以，企业网络可能存在的安全威胁来自以下方面 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如 服务器，服务器及桌面。 防火墙的安全性。防火墙产品自身是否安全，是否设置，需要经过检 验。 来自内部网用户的安全威胁。 缺乏有效的手段监视评估网络系统的安全性。 采用的协议族软件，本身缺乏安全性。 未能对来自的电子邮件夹带的病毒及浏览可能存在的 控件进行有效控制。 应用服务的安全......”。

4、“.....并且，如果系统设置，很容易造成损失。 平台安全的需求 网络的基本安全需求 满足基本的安全要求，是该网络成功运行的网络建成了个开 放的网络环境，各种安全包括系统级的安全问题也随之产生。 构建平台安全系统，方面由于要进行认证加密监听，分析记录等工 作，由此影响网络效率，并且降低客户应用的灵活性另方面也增加了管理费 用。 但是，来自网络的安全威胁是实际存在的，特别是在网络上运行关键业务时， 网络安全是首先要解决的问题。 选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况 下，提供灵活的网络服务通道。 采用适当的安全体系设计和管理计划，能够有效降低网络安全对网络性能的 影响并降低管理费用。 平台安全的管理因素 平台安全可以采用多种技术来增强和执行。但是，很多安全威胁来源于管理 上的松懈及对安全威胁的认识......”。

5、“..... 系统安全体系的缺陷。 使用人员的安全意识薄弱。 管理制度的薄弱。 良好的平台管理有助于增强系统的安全性 及时发现系统安全的漏洞。 审查系统安全体系。 加强对使用人员的安全知识教育。 建立完善的系统管理制度。 全方位的安全体系 与其它安全体系如保安系统类似，应用系统的安全体系应包含 访问控制。通过对特定网段服务建立的访问控制体系，将绝大多数攻击 阻止在到达攻击目标之前。 检查安全漏洞。通过对安全漏洞的周期检查，即使攻击可到达攻击目标， 也可使绝大多数攻击无效。 攻击监控。通过对特定网段服务建立的攻击监控体系，可实时检测出绝 大多数攻击，并采取相应的行动如断开网络连接记录攻击过程跟踪 攻击源等。 加密通讯。主动的加密通讯，可使攻击者不能了解修改敏感信息。 认证。良好的认证体系可防止攻击者假冒合法用户。 备份和恢复......”。

6、“.....在此基础上提供强有 力的安全保障，是建设企业网络系统安全的重要原则。 网络内部部署了众多的网络设备服务器，保护这些设备的正常运行，维护 主要业务系统的安全，是网络的基本安全需求。 对于各科各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的 同时，抵御和发现网络攻击，并且提供跟踪攻击的手段，是本项目需要解决的问 题。 业务系统的安全需求 与普通网络应用不同的是，业务系统是应用的核心。对于业务系统应该具有 最高的网络安全措施。 企业网络应保障 访问控调，确保业务系统不被非法访问。 数据安全，保证数据库软硬件系统的整体安全性和可靠性。 入侵检测，对于试图破坏业务系统的恶意行为能够及时发现记录和跟踪， 提供非法攻击的犯罪证据。 来自网络内部其他系统的破坏，或误操作造成的安全隐患......”。

7、“..... 网络内客户对的访问，有可能带来些类型的网络安全隐患。如通过 电子邮件引入病毒危险的或应用等。因此，需要在网络内 对上述情况提供集成的网络病毒检测消除等操作。 对网内服务的访问，还会带来更加严重的网络安全隐患。如 等远程服务。因此，需要在网关处，设立严格的监控手段，确保合法用户 登录到合法主机，执行合法应用程序。 平台安全与平台性能和功能的关系 通常，系统安全与性能和功能是对矛盾的关系。如果个系统不向外界提 供任何服务断开，外界是不可能构成安全威胁的。但是，企业接入国际互连网 络，提供网上业务和电子商务等服务，等于将个内部封如和认证令牌。 的基本分类 包过滤 包过滤 源地址 目的地址 源端口 目的端口......”。

8、“.....些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的 封包才可能检测出来。 实际运行中，经常会发生规则例外，即要求允许通常情况下禁止的访问通 过。但是，规则例外使包过滤规则过于复杂而难以管理。例如，定义规则 禁止所有到达的端口连接，如果些系统需要直接 连接，此时必须为内部网的每个系统分别定义条规则。 些包过滤路由器不支持源端口过滤，可能使过滤规则集更加 复杂，并在过滤模式中打开了安全漏洞。如连接源端口是随机产生 的，此时如果允许双向的连接，在不支持源端口过滤的路由 器上必须定义条规则允许所有端口的双向连接。此时用户通过 重新映射端口，可以绕过过滤路由器。 对许多服务进行包过滤非常困难。由于 的口是在主机启动后随机地分配的，要禁止服务，通常需要禁 止所有的绝大多数使用，如此可能需要允许的连接 就会被禁止。 应用网关 为了解决包过滤路由器的弱点......”。

9、“.....这样的应用称为代理服务，运行代理服务的主机被称为应 用网关。应用网关和包过滤器混合使用能提供比单独使用应用网关和包过洗器更 高的安全性和更大的灵活性。 应用网关的优点是 比包过。 拨入拨出策略 拨入拨出能力必须在设计时进行考虑和集成。 外部拨入用户必须通过的认证。 策略 公共信息服务器的安全必须集成到中。 必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺 口。 为定义折中的安全策略允许提供公共服务。 对公共信息服务和商业信息如讲行安全策略区分。 系统的基本特征 必须支持禁止任何服务除非被明确允许的设计策略。 必须支持实际的安全政策，而非改变安全策略适应。 必须是灵活的，以适应新的服务和机构智能改变带来的安全策略 的改变。 必须支持增强的认证机制......”。